「ユニバーサルなシングルサインオン」がLiberty Allianceの目的

【国内記事】2001.11.30

 現在のように,Webサイトごとに異なるアイディンティティ(ユーザーID)を使い分けるのではなく,一元的に,それもさまざまなデバイスからシームレスな認証を行えるようにする――こうした,インターネット上の包括的なシングルサインオン環境を目指し,現在,2つのプロジェクトが並行して動いている。

 1つはご存じ,マイクロソフトの「Passport」。もう1つは,今年9月,サン・マイクロシステムズとソフトウェアベンダー,ネットワーク機器ベンダーなど33社によって設立された「Liberty Alliance」だ。

 JavaOne 2001 Japan最終日のセッションの1つとして,このLiberty Allianceについて解説する「次世代Webサービスを実現するフェデレーテッド・アイディンティティ」が行われた。スピーカーは,米サン・マイクロシステムズのマーク・ハプナー氏だ。

ユーザー自身によるID情報のコントロール

 Liberty Allianceが提示するモデルには,3つの要素が登場する。ユーザーと,ID情報を元にユーザーに製品やサービスを提供するマーチャント。そしてもう1つが,両者の間に立ち,ID情報を管理して認証を行う,Identity Provider(仮にIDPとする)だ。最後のIDPは,ユーザーやマーチャントとの信頼関係を基盤とすることからも,PKIの仕組みにおけるCA(認証局)のようなものと捉えてもいいかもしれない。

 ここで利用されるID技術には,さまざまな要素が必要だとハプナー氏は言う。

 まず重要なのが,ユーザー自身が自分のID情報を管理できること。それも,IDが誰に,どのように使われるか,有効期間はどのくらいかといった複数の条件について,ユーザーが管理,選択できなくてはならない。企業間ともなれば,特定の企業のみとの通信を許可するようなコントロールも必要となる。

 また当然ながら,ID情報の盗難や他人による成りすましを防ぐため,セキュリティやプライバシーが十分に確保されねばならない。ユーザーがポリシーに応じて,自由にセキュリティ技術を組み合わせられる必要がある。

 さらに,このID情報と認証機構は,パソコン上で使えるだけでは意味がない。携帯電話やPDA,車載デバイスなど,多様な機器から,同じIDで同じサービスが利用できる必要がある。

 それでいながら,これらID技術を基盤としたIDPは,あくまで「コントロールポイント」であり,ユーザーとサービスの間の障壁になってはならない。また,Webインタフェースから簡単に使えるものでなくてはならない。

 一連の技術には,相互互換性も求められる。マイクロソフトのPassportを意識してか,ハプナー氏はこんなふうに語った。「プロプライエタリな,特定のIDPを使うことで,利用できるサービスが限定されるようなことがあってはならない。ユーザーがID情報の提供先を選び,時に応じてIDPを変更できる必要がある」

ユニバーサルなシングルサインオンを

 だが,そうした要素を満たしたIDサービスはまだ現実のものとなっていない。

「セキュリティやプライバシーを確保したIDの集中によって,サービスエコノミーが形作られる。しかし現在,こうしたものは存在しない」(ハプナー氏)

 そこで,その実現を目指して結成されたのが,Liberty Allianceだという。「ユーザーによる管理を実現しながら,ID情報を共有するのは困難なことだ。どこでも,どのデバイスからも,どんなサービスでも受けられるような,ユニバーサルなシングルサインオンメカニズムを作るために結成されたのが,このアライアンスだ」(ハプナー氏)

 同アライアンスでは,IDサービスを利用するためのスキーマやフレームワークを規定するとともに,各技術やサービスが共通に利用できるプロトコルやAPIの標準を作成していくという。IDサービスの基盤となる技術を作成し,ID情報を巡る課題を解決することが目的だ。

 当初このIDサービスは,クッキーを利用した単純なシングルサインオンから始まるだろうが,さまざまなインターネット標準技術を活用し,さらに発展していくという。

 XMLを通じた複数のWebサービスとの連携や,Kerberos認証や暗号化技術,電子証明書によるセキュリティの確保がその例だ。また,DNSと似たような分散管理技術によって,ID情報が使えなくなることのないように,耐障害性を高めることも課題の1つという。

 また,技術的な側面だけでなく,ビジネス環境においてどのような関係を形作るかという,戦略的な部分も考慮せねばならないとした。

Webサービスの基盤に

 このID技術は,サンをはじめとする各社が描くWebサービスの世界において重要な基盤となる。「Webサービスは,ID技術とともに成長していくだろう」(ハプナー氏)

 さらに同氏は,「サンはこのアライアンスに強くコミットしており,自社のさまざまな製品を通じて支えていく。サン社内でも,Liberty Allianceの成果を従業員向けに使っていく予定だ」と語った。これはおそらく,SunOneの中にも取り込まれるはずだ。

 とは言うものの,既にサービスを開始したPassportに対し,Liberty Allianceの具体的なスケジュールは見えておらず,「まだこの作業は始まったばかり」(ハプナー氏)。今は,スケジュールやロードマップそのものを調整している最中という。

 それでも,オープンで,多様なデバイスから利用できるID技術標準を目指しているところに最大の意義があると同氏は述べている。

 なお,講演後に直接,同氏のPassportへの評価を聞いてみたところ,「もしPassportを使うのであれば,マイクロソフトの製品を買わなくてはならず,サービスも特定される。セキュリティの観点からも不安があるだろう」とのコメントを得た。

関連記事

▼サンが「Liberty Alliance」結成,マイクロソフトのPassportに対抗

▼サンが反Passport同盟を旗揚げ,IBMやAOLの参加は?

関連リンク

▼JavaOne 2001 Japan

▼サン・マイクロシステムズ

[高橋睦美 ,ITmedia]